Internationaler Datenschutz
Es ergeben sich datenschutzrechtliche Besonderheiten, wenn personenbezogene Daten ins Ausland weitergeleitet werden. Praxisrelevanz gewinnt diese Thematik vor allem in den Bereichen der Auftragsdatenverarbeitung und bei international tätigen Unternehmen. Um datenschutzrechtliche Konsequenzen herleiten zu können, muss jedoch das BDSG überhaupt anwendbar sein.
Anwendbarkeit des BDSG
Das BDSG ist dann anwendbar, wenn eine Erhebung, Speicherung oder Nutzung von Daten auf deutschem Territorium (Territorialprinzip) vorgenommen wird. Es bleibt demnach auch dann anwendbar, wenn eine Übermittlung ins Ausland stattfindet. Auch ausländische Konzerne können dem deutschen Datenschutzrecht unterliegen, wenn sie über ein deutsches Tochterunternehmen mit eigenständiger Rechtspersönlichkeit personenbezogene Daten erheben, verarbeiten oder nutzen.
Werden Daten jedoch nicht auf dem Gebiet der Bundesrepublik erhoben, gespeichert oder genutzt, so finden die nationalen Regelungen des jeweiligen Landes Anwendung. Grenzüberschreitender Datenschutz ist daher gerade bei international tätigen Unternehmen ein wichtiges Thema.
Zu beachten ist jedoch, dass jede Datenübermittlung von Deutschland aus grundsätzlich zulässig sein muss bzw. einer Rechtfertigung bedarf. Erst nachdem in diesem ersten Schritt die grundsätzliche Zulässigkeit der Übermittlung bejaht wurde, muss in einem zweiten Schritt geprüft werden, ob die Übermittlung in das jeweilige Empfängerland zulässig ist.
Länder der EU/ EWR
Übermittlungen aus Deutschland an Länder innerhalb der EU sind unter denselben Voraussetzungen zulässig wie Übermittlungen im Inland. Ein Grund hierfür ist die Tatsache, dass europaweit die gleichen Prinzipien und damit das gleiche Datenschutzniveau herrschen. Für die EWR-Vertragsstaaten zählt ebenfalls die Datenschutzrichtlinie 95/46/EG zu den maßgeblichen Regelungen.
Drittstaaten
Laut Lexikon von Datenschutz Praxis sind
„Drittstaaten sind Staaten, in denen ein Datenschutzrecht herrscht, das unter dem Niveau liegt, das mit der Umsetzung der EU-Richtlinie erreicht werden sollte und dem Betroffenen so weniger Garantien zum Schutz seiner personenbezogenen Daten gibt.“
- Unsichere Drittländer sind solche, in denen kein angemessenes Datenschutzniveau herrscht. Dazu gehören unter anderem Japan, Indien, Israel, und China. Bei diesen Ländern muss die Daten übermittelnde Stelle grundsätzlich selbst das Datenschutzniveau des Staates überprüfen (§ 4b Abs. 3 und 5 BDSG).
- Sichere Drittländer sind solche, die über ein angemessenes Datenschutzniveau verfügen, welches dem EU-Recht hinreichend vergleichbar ist. Dazu gehören etwa die Schweiz, USA (nur soweit sich das Unternehmen den Safe-Harbor-Regeln unterworfen hat), Kanada (nur teilweise), Argentinien, Vogtei Guernsey und die Insel Man.
Ausnahmen
Darüber hinaus gibt es noch Ausnahmen, unter denen eine Übermittlung in ein Drittland auch dann zulässig sein kann, obwohl kein angemessenes Datenschutzniveau herrscht. Dazu zählen die Einwilligung des Betroffenen, die Verwendung bestimmter Standardvertragsklauseln oder die Möglichkeit einer Ausnahmegenehmigung durch die zuständige Datenschutzaufsichtsbehörde.
Auch die Erfüllung eines Vertrages oder die Wahrung lebenswichtiger Interessen des Betroffenen können eine solche Ausnahme darstellen. Außerdem besteht durch die Verwendung von EU-Standardvertragsklauseln die Möglichkeit, personenbezogene Daten an Stellen in unsicheren Drittstaaten zu übermitteln. Es sind zwei Vertragsformen veröffentlicht, für Übermittlung und Auftragsdatenverarbeitung, die im Wortlaut nicht verändert werden dürfen, sondern durch die entsprechenden Angaben der beteiligten Unternehmen ergänzt und unterschrieben werden müssen.
Über die Autoren:
Unsere Autoren sind spezialisierte Juristen mit Kompetenzen auf den Gebieten Datenschutz, Recht und IT. Jeder Einzelne verfügt über ein umfassendes Erfahrungsspektrum als Externer Datenschutzbeauftragter.
Sie können einen Trackback von Ihrer Seite hierher setzen.
